时间:2022-10-16 12:20:28
导言:作为写作爱好者,不可错过为您精心挑选的10篇医院信息安全,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
1信息安全现状
1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:
(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;
(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;
(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;
(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;
(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。
1.2当前医院信息安全存在的问题,主要表现在如下的几个方面
(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。
(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。
(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。
(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2医院信息安全总体规划
2.1设计目标、依据及原则
2.1.1设计目标
信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。
2.1.2设计依据
(1)《信息安全等级保护管理办法》;
(2)《信息技术安全技术信息技术安全性评估准则》;
(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;
(4)《电子计算机场地通用规范》。
2.1.3设计原则
医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.2总体信息安全规划方案
2.2.1基础保障体系
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
2.2.2监控审计体系
监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。
2.2.3应急响应体系
应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。
2.2.4灾难备份与恢复体系
为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
3结论
通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。
参考文献
[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).
[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).
从信息系统安全的角度来看,信息安全系统包括的许多技术、技巧都是在网络的各个层面上实施的,离开网络,信息系统的安全就失去意义。信息系统的安全包括了安全机制和安全服务两项内容,安全机制可以理解成为提供某些安全服务、利用各种安全技术和技巧,所形成的一个较为完善的结构体系,安全服务就是从网络中各个层次提供给信息应用系统所需要的安全服务支持。随着网络的逐层扩展,安全的内涵也更加丰富,达到了具有认证、权限完整、加密和不可否认五大要素。从目前医院信息系统的发展状况以及对医疗信息系统数据的安全性要求来看,在医院中如何做到从物理、网络、系统主机以及应用层面来确保IT系统中各种信息的保密性、完整性、可用性,提高整体防护能力,规范安全管理流程,保障信息系统的平稳运行,是医院信息系统安全的关键所在。但是从目前医院信息系统的发展状况,资金投人等方面来看实施全面的医院信息安全系统是不现实的。既然实现全面的信息安全系统是不现实的,只有先抓主要矛盾,首先在医院信息系统的关键环节实施信息安全系统,那么医院信息安全系统应该包含哪些关键环节,每个环节又应该采取什么样的策略,先详述如下。
1医院信息安全系统的关键环节
1.1中心机房、服务器、数据库的安全
医院中心机房作为医院信息系统的心脏,安全稳定运行应该包括稳定的电源,专用的空调设备,安全的防雷、防静电措施,灵敏的监控报警系统,安全的防火墙、最新的安全补丁以及规范的机房管理措施。
服务器的安全运行首先应该是建立在机房安全运行的基础上,其次应该是自身软硬件的安全运行,最后应该是防止各种非法的网络入侵。
数据库的安全运行应该建立在服务器安全运行的基础上,不仅仅是数据库软件的安全运行,更重要的是数据库中数据的安全备份、保护与及时恢复等。
1.2网络设备及其连接线路
网络设备中的核心交换机就像人体的供血枢纽,各级交换机就像中转站,连接医院各种信息设备的网线,就像人体通向各个地方的血管,其重要性不言而喻。
1.3终端机器的稳定运行
医院大多数系统采用C/S或B/S结构,各种信息系统的使用主要是在终端机器运行,只有终端机器的稳定运行才可以保证医院信息系统得到充分应用。
1.4应用软件的健壮性
应用软件的健壮性、稳定性也是医院信息系统安全的重要环节,因为所有软硬件都是为应用系统的运行创造条件、搭建环境,如果应用系统本身存在安全问题,其它环节的安全将失去意义。
1.5人的因素
在医院信息系统安全的关键环节中,人的因素是最重要的因素,因为信息系统安全中存在的主要风险应该是人的因素占有很大比例。
2医院信息安全系统关键环节的主要策略
2.1中心机房、服务器、数据库的安全运行策略
医院中心机房应该在温度、湿度、电磁、噪声、防尘、静电和震动等方面做好安全策略,温度波动控制在24士1一2℃之内,相对湿度波动控制在50%士5%RH之内,每升的空气中,大于等于0.5um的颗粒应小于18,000个,换气次数/h>30,中心机房机房与其它房间、走廊间的压差不应小于4.9Pa,与室外静压差不应小于9.8Pa。机房中应具有报警系统,并具备发手机短信报警功能。中心机房应采取双路供电,配有满足要求的UPS设备,做好防雷措施。
定期对服务器进行安全评估、安全加固,是保证服务器正常运行的必要手段,内容至少包括对服务器定期进行硬件检查,操作系统、应用软件的补丁升级,做好系统备份,安装杀毒软件并及时升级病毒库,重要业务服务器要做好双机备份。对于医院互连网业务用服务器要单独放到DMZ区域,并配备IPS,以防止互连网黑客或病毒的攻击,并尽量使得在受到攻击后不影响内部服务器的使用。
对服务器及核心交换机要做好入侵检测、审计、网管等相应的安全系统,以便实时检测核心设备及整个网络的状况,如果出现问题可以及时通过审计系统查到问题的根源。数据库应该做好增量备份、全备份及异地备份,以保证信息系统的数据万无一失。
2.2网络设备及其线路的安全策略
网络设备应该根据设备的重要程度对硬件进行定期的维护检查,软件进行定期升级,网络设备中应该根据业务的具体需要进行安全域的划分,网络设备的连接线路应该具有明确的标志,以便在系统出现问题时可准确及时的定位。
2.3终端机器的安全策略
终端机器由于医院使用者计算机水平的限制,对系统的维护及保护意识比较差,而且终端机器往往又是业务系统的直接运行设备,所以对终端机器的管理显得尤为重要。对终端机器至少应该根据业务的不同将其划分到不同的安全域中,通过网络设备做好访问控制,系统一定要打最新的补丁,安装杀毒软件并及时升级病毒库,因为病毒目前来看仍然是医院信息系统安全的“第一杀手”。另外,终端机器应做好准入控制,防止外来笔记本电脑等移动设备直接进入网络,业务用终端机器最好禁用USB设备。在条件允许的情况下,业务系统和办公系统使用的终端机器最好做到物理隔离。
2.4应用软件的安全性策略
应用软件的安全应从系统级安全、程序资源访问控制安全、功能性安全和数据域安全四个层次去考虑,在医院信息系统中,由于涉及到的业务类型比较多,部门间职能划分差异比较大,因此程序资源访问控制及数据域安全显得尤为重要,程序的授权模型需考虑组织、岗位和用户等各个层面。另外,应用软件在安装使用之前一定要按照软件测试的标准流程进行测试,对软件中身份认证部分的数据一定要进行必要的加密,软件系统中一定要记录软件使用者的具体信息,保留使用痕迹。
2.5人员管理培训策略
医院信息安全系统中人的因素占有很大比重,包括管理水平、技术水平、职业道德等。
医院信息系统的管理水平具有决定性的作用,因为医院信息系统中主要以应用现有计算机技术为主,主要是计算机技术在医院信息系统中的应用,可以说是“三分技术、七分管理”,管理水平将直接决定信息系统的安全性、稳定性。
信息系统发展快、更新快的特点决定了从事信息技术工作的人员必须经常学习,才可以跟上计算机技术的不断更新,所以对于从事信息技术的人员要进行定期的培训,最好能具备专业的信息安全知识,对于业务系统的使用者也要进行定期培训,具备必要的安全知识。
加强信息从业人员的职业道德培训,信息工作人员的职业道德对信息系统的安全具有非常重要的作用,信息系统的安全问题有很大一部分是由于内部人员造成的,很大程度与内部人员的职业道德有直接关系,因此对于信息技术从业人员应该加强企业道德培训。
病案档案主要指的是医院在开展医疗活动中,医务人员对患者疾病做出判断、诊治以及决策的过程,是对患者实施医疗活动的重要依据,也是回顾患者诊治过程以及开展医学研究的重要资料,还是进行工伤职业病鉴定、司法、保险理赔以及解决医患纠纷等的重要证据。但是因各种因素,医院病案档案信息还存在很多安全隐患,因此分析医院病案档案信息安全防护策略具有重大意义。
一、医院病案档案信息安全现状
(一)管理不善。近年来,各大医院中因为人为破坏和档案管理人员恶意违规或者不按操作流程等导致病案档案信息安全受到威胁的案例颇多,该问题已经得到医院乃至社会各界的高度重视。按照目的和性质的差异又可以被划分为病毒和恶意软件破坏、恶意窃取以及内部人员不经意流失三种情形。刨根究底,导致这些现象的根本原因为管理不善,因管理不善影响病案档案安全信息主要是因为从事档案管理工作的人员自身缺乏安全意识,操作不规范等导致病案档案中的机密数据和文件被泄露甚至损坏,甚至还有个别管理人员恶意破坏信息系统正常运行,对医院造成严重损失。
(二)病案档案信息安全管理制度不健全。当前大多数医院实现了病案档案的信息化管理,跟传统的纸质档案管理相比,虽然该管理方式存在很大的优越性,但与此同时也存在不可忽视的缺陷。现目前还有很多医院的病案档案信息管理缺乏健全的安全制度,忽视了档案信息安全,再加上个别档案管理人员的网络安全意识欠缺,如此便给一些病毒和黑客创造了可乘之机,无法保证病案档案的信息安全。
(三)医院病案档案保管的环境存在安全隐患。就目前个别医院的病案档案库房来看,特别是一些基层医院,主要存在着库房面积过小,自然通风差,光线不足,库房的湿度温度无法满足相关规定,甚至还有个别医院的病案库房必须的防虫、防尘、防潮设施都不具备,这些都严重威胁病案档案的信息安全。
(四)网络环境有待改善。影响医院病案档案信息安全的因素中最重要的因素便是网络环境带来的黑客攻击、各种计算机病毒以及系统故障等,除此之外,当系统和硬件发生故障时也会威胁病案档案的安全性,从而无法保障病案档案信息的原始性、完整性以及保密性。
二、医院病案档案信息安全防护策略
(一)提高病案档案管理人员的整体素质。近年来,随着网络技术的不断发展,在网络时代下,加强医院病案档案信息安全防护必然少不了一批整体素质较高的管理人员作保障。作为病案档案管理人员,其自身必须摒弃传统的工作意识,树立较强的信息安全意识和责任意识,作为医院,要积极加大对网络安全知识的宣传和教育工作,定期组织病案档案管理人员参与培训,经常跟计算机专业方面的人员进行交流和合作,争取在提高病案档案管理人员信息安全防护意识的基础上提高其信息安全防护能力,并将所学的信息技术运用到病案档案信息安全防护中,确保病案档案在存储、传输过程中的安全性,防止各种非法访问和随意篡改信息内容,全面保证病案档案信息的安全。
(二)建立健全病案档案信息安全管理制度。医院相关部门要根据病历管理的相关法律和法规,结合自身病案档案管理的实际重新修订《病案档案管理制度》《病案借阅制度》等制度,在这些制度中要明确指出病案档案管理人员的职责,做好相关责任人的分工,要求所有病案档案的管理人员均严格依法管理病案,所有病案档案在经过整理—登记—编目—分类归档之后,任何人均不得伪造、涂改、销毁、窃取、隐匿、抢夺病案档案,一旦发现要立即给予严厉处罚。另外,进一步规范借阅和复印病历人员的范围和程序,只要不违背相关法律、法规和制度,要主动为需求者提供服务,相反,针对一些违反规定的要求,病案档案管理人员要尽可能耐心解释,争取得到需求者的理解和支持,充分保证病案档案信息的安全。
(三)加强病案档案库房建设。医院在不断发展和壮大过程中,必然会有一些闲置的空房,因此要充分将这些闲置空房利用起来作为病案档案的库房,库房的建设必须严格按照国家相关部门提出的病案库房的设计要求和规范进行建设,确保建成的库房能够达到防水、防潮的标准,除此之外,在库房中还必须配备防尘、防潮措施,定期清洁库房,让其符合病案档案管理工作流程。
(四)加强网络环境建设。网络环境的建设是保证病案档案信息安全管理的基本前提和基础,因此要尽可能选择质量过硬、符合标准的硬件设备,以此减少因为硬件发生故障带来的不完全因素。考虑到病案档案信息的特殊性,要尽可能选择符合实际的存储介质,并且高度重视备份,通过备份来开展病案档案的异地储存和灾难性恢复等工作,以此保证病案档案信息的安全。除此之外,还应该高度重视对病案档案信息传输设备的管理工作,要安排专业人员定期对这些设备进行检修和维护,全面保证病案档案信息的安全。
三、结语
综上所述,医院病案档案信息的安全防护本身是一项全方位、动态且持续的过程,确保医院病案档案信息的安全对医院来说至关重要,虽然当前我国病案档案信息安全还存在很多安全隐患,但是笔者坚信,只要找准问题,积极采取解决措施,便能够构建起健全的病案档案信息安全保障体系,将病案档案的作用更好地发挥出来。
【参考文献】
(二)同过去相比网络规模相对来说比较小,用户群的计算机水平普遍来说不高,所以比较容易管理,随着网络信息的发展,医院网络架构也在不断变化。I医院网络信息化从不成熟到不断的加强改进,许多大型的办公自动化系统也得到了成功应用,包括病区里也建立了无限网络的应用。高速网络和高度的信息化网络使医院像一个巨大的工厂在不断的全天运行着。
(三)要从各个方面着手医院的网络信息安全问题,尽可能周全的了解信息安全网络系统,要能够杜绝安全隐患问题的发生。在医院建立常规化,系统化,有效化的系统,防止医院信息的泄露,因为网络系统的建设安全直接关系到患者利益和医院的效率,所以不可小觑。伴随着社会信息化的发展和进步,为了更好的加强对医院的管理,医院的信息化建设对于医院与现代化的进程有着不可忽略的重要作用。
二、医院信息网络安全存在的问题
(一)自然环境的因素
因为考虑到医院环境的湿度及温度等原因的问题,供电电源的不稳定及雷击,静电,都会影响系统的正常运作,以及医院环境的过低或者太高时都会对网络信息安全产生影响,甚至影响电路下降或者绝缘的现象发生。机器原件的损伤和信息数据的丢失,都会给我们的医院和患者带来伤害。
(二)人为因素
人为因素主要分为两个方面而言来说:一个是人为的无意攻击,一个是人为的恶意攻击,计算机的安全系统需要加强对人为因素的一个重视,因为一个数据的丢失和泄露,严重的话会使整个医院系统瘫痪,使医院的系统崩塌。导致无意攻击网络信息系统的一般是医院内部的人员,例如程序设计问题,操作失误的问题等等,安全配置问题的漏洞导致口令的泄露,就会给整个医院网络信息安全问题带来风险。相比人为的无意攻击来讲,人为的恶意攻击带来的危害和影响更为严重和深远。网络上的黑客出于好玩或者挑战的目的,往往通过计算机的病毒或者是计算机的犯罪等行为,对网络信息安全发起人为的挑战,这种方式给医院带来了网络信息安全风险,以及机密数据的篡改和泄露都会带来一定的风险,其后果将会是不堪设想。
(三)网络信息软件的漏洞
在计算机软件以及计算机硬件安全系统上都会或多或少存在一些安全上的漏洞和有机可乘,这些漏洞和有机可乘导致黑客在还没有被授权的情况下侵入系统进行恶意破坏和攻击。尽管我们不能保证任何软件没有百分之一百的漏洞,但是恰恰是我们存在的这些漏洞成了黑客侵入的首选目标,给整个医院带来信息安全上的问题。
三、建立健全的信息管理安全系统
医院这个行业相比其它行业来说它其实还是相对来说是一个比较特殊的一个领域,一旦医院网络信息的安全存在一些隐患,对医院的医疗数据来说会是一个不小的冲击。因为目前医院对医院的网络信息的安全的意识还不是很高,所以相对来说采取的措施也不是相对完善,安全隐患也是随处可见,甚至有些非常严重。所以制定严格的规章制度,从医院的管理层方面把关,让管理人员意识到网络信息的威胁也可能来源于网络内部。切切实实实行规章制度,不要把规章制度成为一纸空文。
四、加大投资完善安全系统
如今的医院的运行离不了完善的安全信息管理系统,医院的主要负责人员也要意识到医院网络信息安全的重要性,加大投入,不断更新医院系统的软件,从而强化其系统的功能。对于硬件设施的配置一定有保障有质量的设备,特别是对于比较重要的硬件设施要有储存备份的功能,具有一定抗病毒和自我修复功能,在一些信息系统发生异常时也能够找回,以免数据的丢失对医院造成一些不可挽回的损失,尽可能从最大的程度上减少信息化管理系统带来的一些客观原因。
时代的发展同时带来的也必定是科技的发展和进步,不论是面对一些网络信息安全内部因素的挑战还是一些外力因素的挑战,对于我们来说网络信息安全问题是一个值得我们去不断思考和反思的课题,医院的受众群体是我们的老百姓,所以不仅是为了医院的利益还有更是为了我们人民群众的个人利益,这不仅是我个人的心声我想也是我们所有患者的心声。也希望时展和进步的时候,我们的网络信息安全问题能够更高更好质量的服务大家。面对未来更加复杂的网络环境和更加海量的信息化,摆在网络安全信息管理员面前的考验将是更加严峻。
作者:白峰 潘永红 单位:安康市人民医院
参考文献
[1]王萍.医院信息系统网络安全问题分析[J].网络安全技术与应用,2016,(01):32-33.
一、医院信息系统的概念及作用
医院信息系统(简称HIS,hospital information system)是医院利用计算机软硬件技术、网络通信技术等现代化手段,对医院的医疗、财务和人力等各项工作进行综合管理,对各部门各阶段产生的数据进行采集、处理、存储并汇总、加工成各种直观信息,从而为医院的整体运行提供自动化、智能化的管理及各种服务的信息系统。随着医改的不断推进和医院信息化建设的逐步深入,医院信息系统已经成为支撑医院开展各项业务的基础平台,是建设现代数字化医院必不可少的一部分。医院信息系统在给医院带来各种便利的同时,也带来了一些烦恼,尤其是信息安全问题。医院信息系统的安全问题关系到医院业务的正常开展,会影响医患关系等隐患问题。因此,有必要对医院信息系统的安全问题进行研究。
二、医院面临的信息安全问题
医院信息系统给医院管理带来了很大便利,节约了管理成本和时间,但是数据信息在网络中传输和存储也受到来自各方面的安全威胁。医院信息系统存有病人信息、医疗信息、医院的财务和人事等各方面的机密信息,如果医院系统遭受黑客入侵,信息被恶意篡改、插入或删除,均会造成信息的泄露,使医院蒙受巨大损失。
医院信息系统面临的信息安全问题主要有以下几种:
1.计算机病毒入侵
病毒入侵是所有计算机信息系统都面临的问题,任何一台计算机都有感染计算机病毒的可能性,因此,计算机病毒也是医院信息系统面临的一个重大安全威胁。计算机病毒具有极大的破坏性和传染性,连接医院信息系统的任何一台计算机感染病毒,都有可能导致整个信息系统的瘫痪。一些病毒还会悄悄地删除、更改或发送计算机数据,给医院正常开展业务和数据信息的完整性、可用性和保密性带来极大地威胁。
2.黑客攻击
黑客攻击活动日益猖獗,现已成为世界范围内各领域都面临的安全威胁,尤其是运行重要信息系统的机构和网站。黑客攻击行为多具有目的性和恶意性,医院信息系统内包含医院和病人的各项机密信息,容易成为黑客的攻击目标,因此,黑客攻击也是医院信息系统安全的主要威胁之一。黑客攻击多利用系统的安全漏洞来达到非法入侵的目的,获取所需的信息资源、篡改系统信息和访问权限,对医院信息系统造成破坏。
3.数据库管理问题
医院所有的数据信息都存储在数据库中,保护数据库中的机密信息便成为医院信息系统安全的一个重要任务。数据库的存储内容被任意查看与修改,数据库管理员密码由一人掌握、数据库用户密码未加密处理,这会导致很多信息安全问题。即便采用最先进的安全技术,冒用他人的用户名和密码等类似问题会依然存在。
三、医院信息安全问题的对策
1.物理隔离
为防范来自互联网的病毒和黑客入侵造成的危害,对内部的医院信息系统和外部互联网实行物理隔离,封闭内网中所有对外接口,防止黑客的入侵。
2.安全监控软件
采用安全监控软件对网络系统和各个终端实时监控,并通过安全策略禁止终端的光驱、软驱和U盘等外设运行,防止来自移动设备的计算机病毒侵入后对内部网络和终端造成破坏,确保服务器和终端PC的正常运行。
3.身份认证技术
对每个使用医院信息系统的用户,进行身份验证。身份验证包括终端验证和用户身份验证。终端验证是指将用户PC的IP地址、MAC地址和用户PC所在交换机的IP地址、端口号进行绑定,只有在PC上输入正确的PC帐号才能连接到医院信息系统。用户身份验证是每个用户拥有自己的用户名和密码,用户名在整个信息系统中是唯一的。用户使用时输入正确的用户名和密码才能验证成功。
4.访问控制技术
通过对系统内部文件或数据进行操作权限的限制,保护系统资源不被非法用户盗取和访问。系统管理员通过分级授权的原则对医院信息资源进行权限设定,从而限制使用医院信息系统的用户,保证系统资源的合法使用。合法用户登录系统后只能在自己权限范围内操作,而不能越级查阅、修改信息。
5.密码学技术
通过密码学技术,提供对医院管理信息和医疗数据的机密性保护,即在数据信息的产生、传输、存储和再利用过程中,对机密数据进行加密保护,未经许可的任何方式都无法查看到数据原文。即使系统管理员也无法查看用户帐号的密码等机密信息。
6.加强安全管理
一、硬件网络安全方面
硬件设施要做好核心交换机和中心服务器等,这对医院网络信息的安全至关重要,也会影响医疗服务质量的可靠性和安全性,故在网络布局上也有较高的要求。为确保安全,应将核心交换机单独配备一个不间断供电的小型设备并放在一个机柜里,网络信息安全的关键取决于中心服务器提供安全可靠的数据等服务。因此,应加强服务器的管理,使其不受黑客的入侵,提高网络信息的安全性。然而,现在医院都是信息化管理,一旦网络瘫痪,会使整个医院的网络系统无法运行。机房的设计也尤为重要,一般而言,医院至少要有两个A级标准机房,分别作为主机房和备用机房,还要对监控室、设备室、空调电源室做好设计,空调电源室安装双机柜,提供充足的空间给后续设备。为保障消防安全,应分别配备自动气体灭火装置。在监控室无人看守的情况下,安装具有自动报警功能的环境监控系统,值班过程中要将系统运行情况做好记录,保证信息中心区24小时安防监控维护。网络布局方面,要根据医院的性质,建设不同的网络如军网、医保专网、内网、外网,关键的是内网建设,要留有网站备份并加强安全防护。随着计算机的发展,病毒的传播也更加迅速,其范围广且破坏性强,病毒的来源基本在;(1)安装配发的计算机时;(2)内网外联时;(3)使用盗版软件和光盘时;(4)用户使用移动介质时。针对以上的病毒来源,医院以前的解决方法已经捉襟见肘,例如不安装光驱在配发的电脑上等,因此随着医院信息的不断发展,医院应从各个方面采取有效的措施:(1)制定有效的规章制度,如在工作的电脑中发现游戏等非常规的软件,扣除绩效评分等;(2)全院宣传并提高防范病毒意识;(3)定期升级防火墙软件;(4)保证备份不受病毒入侵,完善数据;(5)积极观察,及时发现病毒源头并清除。
二、软件网络安全方面
现代医院采用开放式网络,不再像过去一样,封闭式的局域网仅限在内部传送信息,但这也为医院网络信息增加了不安全性,容易被黑客和病毒入侵。因此,应加强网络信息的安全防护,确保网络安全运行。软件的重点在于数据库,所以,最重要的就是加强数据库的安全。目前,许多医院都采用SYBASE、SQLSERVER、ORACLE作为网络信息数据库,并对数据库的选择、管理和操作都有严格的要求。为了避免意外导致数据丢失或损坏,要对数据库进行备份,保障数据的安全性。
三、人为网络安全方面
人为因素也是影响网络信息安全的主要因素,据不完全统计,总医院在2002年至2005年因非正常断电引起的网络设备故障共计152起,其中1起有因设备声音太大而影响休息;施工断电引起的网络故障占有16起;其中最多的130起就是医务人员不小心碰掉HUB电源所导致的;网络设备自己出现故障的仅占5起,其中人为因素导致的断电占比例是最多的。足以说明,我们应该足够重视人为因素对网络安全的影响。为降低人为因素导致的网络故障我们应该采取一些必要的措施:(1)带电源适配器的小型集线器(HUB)最好不要在临床科室使用;(2)在施工前做好施工单位和网络维护人员的协调工作;(3)为避免噪音,合理规划机柜位置;(4)协调供电部门,单独供电,保证24小时不断电。一套健全的规章制度可以让医院网络信息系统安全有效的运行,并且能够规范化的管理,所以,医院对管理人员的培训力度也应加强,使其认识到网络信息安全的重要性,从而提高管理人员的综合素质与技术,使管理人员熟悉掌握网络信息和管理系统的流程,积极参与到安全网络管理工作中。
四、结语
综上所述,医院信息化建设的一个长期研究课题就是医院网络信息安全问题,这也逐渐成为医院运行的重要部分。网络信息的正常运行在于网络信息是否安全。因此,建设安全的网络体系有助于提升医疗服务质量和信息的可靠性及安全性。
作者:俞波 朱全 杭铸 单位:安徽医科大学第二附属医院
关键词:
医院;信息安全;防护体系;设计
0引言
医院作为提供医疗卫生服务的主体,本身的发展关键在于做好综合管理,信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地,建设与服务情况直接关系到医院工作质量与效率,因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性,同时也可及时消除信息服务过程中出现的各类故障与问题,确保医院工作顺利进行。
1我国医院网络信息安全防护体系现状分析
(1)安全需求。
医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术,计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行,保障信息的安全,减少信息丢失、受损、更改、泄露等,确保信息提供服务医疗工作的延续性、长期性、可用性与高效性,提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看,技术层面上医院网络信息安全主要分为三个层次,一是硬件设施安全,包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全,二是数据或应用安全,即软件安全,保证信息系统相关软件、程序、数据库等操作的访问安全,三是网络与系统安全,即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。
(2)安全防护现状。
目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网,通过与因特网连接构建服务院内医疗工作的信息平台,信息网络运行遵照内外网物理隔离形式,因此相对而言运行风险减小,在安全防护方面投入比例相对较低,不过面对越来越进步的医疗需求,实现内外网合一成为必然,有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等,但是内外网合一将会面临更多的安全风险与漏洞,因此加强安全防护体系建设迫在眉睫,是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险,目前防护体系建设主要是通过升级硬件、软件防护确保信息安全,通过加强人员管理与安全管理降低安全风险威胁,对于医院医疗系统而言,随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台,安全防护体系建设所面临的风险与需求也将会越来越大,因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。
(3)信息安全建设问题。
当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈,为了应对信息网络时代频繁的网络攻击与信息安全威胁,杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用,但是同时也存在不足之处,就目前来看,我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业,在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题,影响信息系统安全。信息平台的构造与使用专业性要求较高,并且设备、软件需进行专业整合,院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范,不利于信息技术的整合和信息平台潜力的挖掘,一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势,在制定安全防护策略、构建防护体系时必须做好与时俱进,最大限度的在降低经济成本的同时提升技术应用效率与效益。
2医院网络信息安全防护体系的设计与应用
(1)硬件设施建设。
医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设,硬件建设优劣直接决定信息服务效果与质量,是确保医院信息平台顺利运行的关键物质基础,因此为提升防护稳定性与可靠性,加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手,配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例,作为安全防护信息系统的神经中枢,医院至少要建立两个A级标准机房作为主机房与备用机房,并对监控间、设备间、空调电源间做好设计,比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设,并留有充足的后续设备空间,另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化,以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求,要配备优质的设备以保证数据访问效率,利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力;应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份,并采用核心交换机、光纤宽带等构件高性能网络平台,并在医院内部配备优质计算机服务终端。网络布局方面,根据医院性质做好军网、医保专网、内网、外网的联合建设,内网建设是关键部分,要着重加强安全防护建设,并留有网站备份与未来拓展空间,为医院信息安全管理提供支持与保障。
(2)网络系统安全建设。
医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题,攻击入侵包括木马病毒攻击、系统漏洞等,因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一,保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护,屏蔽内网信息、运行情况及结构,有效预防、制止非法入侵及破坏行为,并且为了提升防护效果,要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系,处理好系统终端计算机内的病毒、木马等,建立有效权限制度以达到保护信息、防护内外入侵等行为,可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果;系统内部防护安全与计算机个人网络终端关系密切,因此要在院内移动终端上增加桌面控制软件以实施全面安全管理,通过系统补丁分发、端口访问、安全准入等机制实现防护。
(3)数据应用安全。
数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关,因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性,要建立数据库本机与多机备份机制,尤其是核心数据库要分别建立主、备用服务器,一旦其中之一发生意外立即采取补救措施实现自动切换,尤其是电子病历要进行专业备份及归档,确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现,要完善医院内部访问权限与身份准入系统,实现统一授权管理,以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注,如lP±IE址的设置、数据库配置、环境变量设置等,实现统一运行环境与地址绑定,降低安全运行风险。
(4)安全管理制度。
医院内部要做好信息安全管理制度的完善与执行,根据国家政策、行业法规、院内需求积极完善系统及数据应用,确保网络信息安全防护系统始终维持良性运行状态,为医院安全建设奠定基石。要加强网络安全值班制度建设,配备专业人员监督网络系统运行,并配备专业监控系统及时处理各类问题与意外,对于问题严重者要及时通报技术科室进行维修养护,确保医院信息系统始终处于24小时监控维护下。值班管理中,要做好系统运行情况记录,并进行数据备份,确保值班日记连贯、完整,为安全管理提供帮助。院内用户管理是安全管理另一重点,权限管理中要严格管理员权限准入机制,做好院内计算机终端设备的改造,做好院内工作人员专业培训,以便实现用户合法、合规访问系统,减少系统运行与访问风险,保证信息数据的安全性。
(5)应用实践。
为了确保医院网络安全信息防护系统得到有效运行,在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统,对机房准入权限、电源供应、通风、控温、消防等情况进行监控,确保机房始终维持在理想的恒温、恒湿现状,电压、电流、频率满足需求,并将变化做好数据记录监控,为机房高效管理提供保障;在医院内网设置专门的安全防护系统,以规范约束院内终端用户操作与应用,避免非法访问与数据篡改,该系统与院内身份认证系统合作,通过灵活的安全策略实现对内网用户、终端计算机的安全管理,充分践行事前预防、事中控制、事后审计的原则,实现安全行为管理;针对电子病历管理,要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复,并根据备份策略做好病程文件的保护与恢复,以确保医疗工作的顺利进行。
3结语
综上所述,医院网络安全防护体系的建设与应用有助于降低医院信息安全风险,提升信息系统可靠性、可用性与安全性,对于提升医院医疗服务质量与效果有积极意义,可有效减少院内信息系统安全故障、降低安全运行风险,提升系统运行服务质量,对于国内医疗改革进步、创新有重要实用价值。
作者:朱凌峰 单位:湖南省衡阳市南华大学附属第二医院
参考文献:
信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。
1.2网络安全分析
在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模DOS侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。
1.3主机安全分析
主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。
1.4数据安全分析
数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。
1.5应用安全分析
众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的IT环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
2医院信息安全防护措施
2.1加强安全意识教育
人是信息安全环节中最重要的因素[3],既是信息安全最大的防护者,也是信息安全问题的制造者。不仅要加强医务人员和信息管理人员自身的信息安全教育,同时也要提高信息安全意识。要做到思想上认识到信息安全工作的重要性,进一步确立信息化条件下医院信息安全防护的指导思想。通过开展信息安全教育,把人员思想与单位制定的信息安全标准、规范、制度等紧密结合,高度统一。建立健全信息安全教育相关培训制度和机制。
2.2建立完善的安全管理体系
加强医院信息系统安全防护制度建设、加强和建立技术防护规划和体系建设、建立人员安全防护体系、建立资产管理体系。形成制度、技术、人员管理和资产管理相结合的立体安全防护体系。信息安全工作要根据医疗行业、军队、国家的相关信息安全要求,从信息安全工作的宏观出发,着手微观。宏观上要制定总体方针和安全策略,建立起整套的信息安全管理机构。微观上要制定信息安全管理机构的工作目标、工作的边界、工作的原则、建立信息系统安全域以及信息系统的安全框架。完善安全管理活动中的各类安全防护标准、制度、规范以及工作流程。应设立专门的安全岗位并确定职责,应成立指导和管理信息安全工作的领导小组,其最高领导由单位主管领导委任或者授权。同时,应根据国家和行业的信息安全要求,例如:信息安全等级保护、风险评估等建立起适合本医院的信息安全等级保护制度基线。从应用系统定级到测评和改造建立起一套行之有效、适合自身的等级保护测评制度和流程,形成完善的信息安全生命周期环,使医院信息安全建设能够伴随着应用系统建设不断滚动健全。
2.3建立完善的安全技术体系
我国信息安全等级保护要求,以信息系统作为定级和保护对象,从物理安全、网络安全等5个层面进行了不同等级间、细颗粒度的具体要求。医院信息系统按照信息安全等级保护标准进行安全防护建设,从机房和网络的公共基础安全防护到数据和应用的系统化安全防护,医院信息系统安全防护主要分为以下几个环节进行防护:
2.3.1物理防护层面
机房属于信息安全等级保护中规定的物理部分,它承载着应用系统所依赖的IT硬件环境,因此机房位置的选择至关重要,从等级保护测评细项上要求机房所在楼宇需要对防震、防雨、防风等进行强度要求。同时为避免内涝和雷击的危险,机房要求避免设置在地下或者顶层。同时,机房是IT资产的重要区域,要求相关人员进出要有门禁控制和相应的音视频监控,对出入人员进行鉴别、控制、记录。在物理机房防护上还应注意防火、防盗窃和防破坏等。具体措施可根据医院实际情况进行整改建设。
2.3.2网络防护层面
网络是整个信息化工作的高速公路,承载着各种业务。目前各医院医疗工作基本实现无纸化,医疗数据传递依靠网络系统,一套业务处理能力强、带宽高且有冗余的网络系统才能够满足医疗业务高峰需求。应根据应用需求建立网络安全访问路径,对客户端和核心服务器间进行路由控制,对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域。根据医疗业务、管理业务等系统进行数据流向的访问控制,建立端口级的细粒度控制。应能够对网络系统中的流量、设备状态,用户访问行为进行控制和记录,并能够根据记录数据进行分析,生成审计报表。对非授权设备私自连到内部网络的行为进行检查,并确定位置,进行有效阻断。应能够在检测到攻击行为时,记录攻击源IP、攻击类型、目的、时间等,在发生严重入侵事件时进行入侵报警进行防范。同时,还要在网络边界处对恶意代码进行检测和清除,做到边界层的恶意代码防范。
2.3.3主机安全防护层面
应对登录操作系统和数据库系统的用户进行身份标识和鉴别,要有防假冒和伪装的功能,针对登录失败要具有结束会话、限制非法登陆次数和自动退出等措施。应对管理用户进行三权分立设置,根据管理用户的角色分派权限,实现管理用户的权限分离。应能够对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,进行防抵赖等功能设计,杜绝管理人员带来的安全风险,应能对主机进行入侵防范,在遭到攻击时能够记录入侵源IP、攻击类型等。应对主机进行恶意代码防护,并与网络恶意代码防护采用不同的恶意代码库。应对服务器主机资源包括CPU、硬盘、内存、网络等资源使用情况进行监视。
2.3.4数据安全层面
应能够保证数据的完整性、保密性、可用性。对医疗数据在传输和存储过程中能够检测到数据完整性是否受到破坏。应对重要业务数据进行时间小颗粒度的数据备份,同时要做到异地数据备份和备份介质场外存放。要采用冗余技术设计网络拓扑,避免关键节点、数据节点存在单点故障[4]。同时应对数据所承载网络设备、通信线路和数据处理系统进行硬件冗余,保证系统的高可用性。
【关键词】
医院管理系统;信息安全;策略
近年来,医疗体制改革日渐深入,社会对医院的管理水平与服务质量的要求也在提高,加上医院规模不断扩大,患者数量增加,医院信息管理也迎来了新的挑战。同时,信息技术手段的进步与发展,为医院进行信息管理提供了便利,但也存在许多问题,特别是信息安全方面的问题,严重威胁到了医院各项信息安全及完整性,影响医院各项工作的开展。所以,加强医院管理系统信息安全管理,对保障医院各项工作的正常进行具有积极作用。
1内部硬件的安全管理
在医院系统的内部硬件安全管理中,主要是对网络服务器、工作站及交换器等内部硬件的安全管理[1]。对于这些设备,必须对其进行安全管理,并对网络进行优化。在服务器与储备设备的管理中,应该形成数据管理,如保证电源故障管理的积极运作,促进网络的正常运用。为了保证系统的安全运行,关键是做好防护工作。因此,必须形成标准建构,以最大程度地保证网络安全。在硬件方面,应避免相同设备出现问题,并在数据库服务中应用集中管理系统,如硬盘选用的是磁盘阵列式,可实现在短时间内进行切换,促进整个系统的安全运用,除此之外,还应实施双路管理,即一路为UPS系统,一路使用市电,以保证服务器与网络设备的正常运行。
2网络安全管理
进行网络安全管理,主要是为了避免计算机受攻击,包括主动攻击与被动攻击。在网络正常运行的状态下,医院系统信息被截取、破坏、窃取的情况时有发生,对计算机网络与数据都造成了很大损伤[2]。网络攻击会对内网与外网都构成巨大安全威胁,故必须增加投入,改善网络安全,防范人为恶意攻击,最大限度地保证医院信息安全。基于上述认识,必须对网络安全管理予以高度重视,并在管理与技术方面加强沟通,形成有前瞻性的管理策略,以实现对网络信息安全管理的目的。
3软件系统管理
对操作系统的管理,主要是做好正版操作系统的补丁工作。例如,在屏幕保护工作中,应将数据暴露于桌面。在对软件系统进行管理时,需形成多个分区,然后分别放置操作系统、重要数据及应用系统。在管理过程中,要把多余的网络协议、服务等删除,并将不必要端口关闭,实现默认管理,并形成锁定注册表管理。需要注意的是,在医院信息系统的网络管理工作中,应将内网与互联网隔开,不可在内网中形成互联网链接,以保证内网操作系统的精准性与可靠性[3]。在杀毒软件管理方面,安装的软件必须是正版软件,并定期升级、杀毒,以保证病毒库安全。情况需要时,可利用辅助软件进行杀毒处理。对于流行性新兴病毒,应做到定期查杀,并实现对软件的实时监控,且要求在在下载升级后先杀毒再使用,与现行系统环境相结合,在促进软件升级与改善测试环境的条件下做好管理工作,保证系统的安全运行。
4数据库安全管理
在医院系统信息管理工作中,数据信息的安全管理是核心部分。做好数据库安全管理工作,可有效保证数据的安全,实现对数据的查询,并保证数据在安全存储中的合法访问,构建基础访问权限。例如,在Oracle数据库管理中,应重视并认真做好用户区别与密码保护工作。比如,在进行SYS与System特殊账户管理工作中,应严格控制网络上的DBA权限,预防远程访问[4]。对于日志文件、DBA查看警告、定期检查等,应加强监控与管理,以便第一时间发现与解决问题,实现对数据库碎片及可用空间的管理。在数据库管理中,还应对链接情况进行定期查看,并将不必要的链接清理干净。在对网络服务与网络硬件进行检查时,应保证硬件的正常运行。在开展周围性数据库管理工作时,应有较完善的数据库恢复预案。对于数据库而言,防止病毒入侵也是安全管理的一项重要内容。在医院信息安全管理中,病毒问题是威胁信息安全的重要原因,对医院各项利益均产生了很大威胁,故必须采取有效的防病毒措施。具体来说,应认真做好以下几个方面的工作:(1)认真做好数据备份工作。病毒入侵会导致数据被窃取与篡改,故应对数据进行备份,特别是重要信息,即便病毒入侵也能保证数据的完整与安全。(2)保证操作系统的安全。盗版系统的稳定性较差,且往往存在较多漏洞易被病毒攻击,无法保证信息的安全性。因此,所选系统应为正版,且要求管理人员应注意查看系统官方消息,加强系统更新与维护工作,以最大程度地保证系统的稳定性。(3)提升工作人员的安全意识。医院应定期组织对工作人员的信息管理安全教育,使工作人员树立正确的安全意识,并掌握常见的系统安全问题处理方法,以保证系统信息的安全性。(4)安装各种杀毒软件及其他防护软件,加强信息管理系统的软件屏障功能,并定期更新与维护,以保证系统的正常、安全运行。
5加强应急管理,完善事故处理预案
医院应根据实际情况制定有效的应急方案。一方面,医院平日应对相关工作人员进行专门培训,保证每位工作人员熟悉紧急预案的流程及具体措施,以便发生紧急事件时能够从容面对,将损失降至最低。另一方面,加强应急演练。医院应定期对工作人员进行各种应急演练,并根据存在的问题进行整改,以保证应急方案的实用性与针对性,减少安全事故造成的损失。除此之外,为了避免意外破坏而导致信息丢失或网络瘫痪,应在平时做好数据备份工作,并定期在服务器端进行一次联机全备份与数据恢复检验工作,以确保备份的可靠性与有效性。
6结语
总而言之,在医院信息化建设不断推进的情况下,信息安全成为医院高度重视的一个问题,因为医院信息安全事关医院、患者的切身利益。基于当前医院管理系统信息安全的情况,医院应积极采取有效措施,如加强内部硬件管理、网络安全管理、软件系统管理及数据库安全管理等,以保证医院系统信息的安全性与完整性,促进医院各项工作的顺利进行。
作者:李瑶瑶 单位:江苏省盐城市射阳县中医院
参考文献:
[1]韩盼盼.加强医院信息管理系统安全的若干策略[J].计算机光盘软件与应用,2014(24):191,193.
建立健全信息安全运行应急工作制度,检验信息安全应急预案及信息系统故障应急预案的有效性,验证相关组织和人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力,保证信息安全突发应急指挥调度工作迅速、高效、有序地进行,满足突况下网络和信息系统安全运行保障和故障恢复的需要,确保信息系统安全通畅。
二、演练依据:
《惠水县妇幼保健院网络与信息安全类突发事件应急预案》
《惠水县妇幼保健院关于信息系统故障应急预案(试行)》
三、演练场景:
1、病毒攻击导致医生的电脑或相关系统失效演练
2、医院管理系统故障停止工作
四、演练方式:
现场演练
五、演练时间、地点及参加人员:
1、时间:2021年07月01日
2、地点:产科门诊、收费室、药房、检验科、B超室
3、参加人员:(院长)、(分管副院长)、(医务科负责人)、(护理部负责人)、(院办负责人)、(检验科负责人)、(影像科工作人员)、(药房工作人员)、(产科主任)、(妇科主任)、(信息科负责人)
六、演练过程一:
1、门诊医生向信息科反映自己电脑的HIS系统打不开,一点击快捷方式就死机。
2、信息科到现场查看,高度怀疑是计算机病毒感染,立即拔出该台电脑网线。
3、运行电脑上的杀毒软件,查看到有病毒攻击该台电脑。
4、病毒非常顽固,且杀毒软件无法清除该病毒,信息科立即上报分管院长,同时查看其他电脑有无类似情况。
5、分管领导到场后指示,坐诊医生暂时使用其他备用电脑接诊患者,使用独立的U盘拷贝该台电脑上的重要数据,必要时寻求专业网络安全人员帮助恢复数据。同时对重要数据拍照留存。格式化电脑硬盘,重装电脑系统。
6、故障消除,演练结束。
七、演练过程二:
1、信息科接到临床医生通知,HIS系统无法正在运行。
2、信息科立即排查故障出现的原因,发现为移动公司迁入我院的交换机故障导致主干网络不通,电话对接后,预计需要1小时才能更换完毕。
3、信息科将具体情况报告医务科,到场查看后汇报分管院长。
4、分管院长指示:(1)全院转入“人工接诊模式”,具体步骤按照《惠水县妇幼保健院关于信息系统故障应急预案(试行)》执行。(2)由医务科负责组织临床工作开展,由护理部负责组织护理工作开展。(3)由于就诊人员现不能完成医保报销,且就诊人员较多,由院办公室负责组织人员向就诊人群做出解释,并维护好现场次序。
5、按照《惠水县妇幼保健院关于信息系统故障应急预案(试行)》走一遍流程。
6、演练结束。